Raport Specjalny | Cyberbezpieczeństwo – Kyndryl Poland | AI w branży bankowej i finansowej – bezpieczeństwo, zarządzanie ryzykiem, zastosowanie
Jakie korzyści i zagrożenia dla sektora bankowego niesie ze sobą sztuczna inteligencja?
– Nasze dyskusje z firmami z branży bankowej w Polsce w większości dotyczą sztucznej inteligencji lub generatywnej sztucznej inteligencji. W trakcie rozmów z klientami zawsze poruszamy temat możliwości i ryzyk w tym obszarze. Banki chcą wdrażać generatywną sztuczną inteligencję, żeby wspierała wiele obszarów: od poprawy wykrywania oszustw, przez zwiększenie wewnętrznej produktywności, po dalszą transformację doświadczeń klientów. Rzadko jednak te projekty wychodzą poza wąskie wdrożenia pilotażowe, powodów tego należy upatrywać przede wszystkim w braku zaufania.
Zaufanie w bankowości to podstawa. Podczas gdy technologia pomaga większości instytucji oferować szybsze i łatwiejsze usługi, to to, w jaki sposób są one dostarczane, określają rygorystyczne regulacje. Powszechnie akceptowane ramy i standardy wpływają na zarządzanie bezpieczeństwem i ochronę prywatności. Ten system zdefiniowanych procesów i zasad buduje zaufanie dla całego sektora finansowego.
Generatywna sztuczna inteligencja wprowadza zagrożenia, które nie są uwzględniane we wspomnianych podejściach do bezpieczeństwa i prywatności. Tym samym organizacje wkraczają na niezbadane – i nieuregulowane – obszary etycznego oraz odpowiedzialnego rozwijania autonomicznych technologii.
Jakie strategie powinny przyjąć banki, aby sprostać nowym wyzwaniom angażowania się w projekty AI w sposób systematyczny i z uwzględnieniem wrażliwości na ryzyko?
– Banki powinny szukać wskazówek w standardach AI, które są publikowane przez coraz więcej instytucji i organizacji na całym świecie. Wśród propozycji pomagających rozwijać i wykorzystywać AI warto zwrócić uwagę na:
- Przewodnik po zarządzaniu AI przygotowany przez Światowe Forum Ekonomiczne – AI Governance Toolkit.
- Zasady dotyczące sztucznej inteligencji stworzone przez Organizację Współpracy Gospodarczej i Rozwoju (OECD).
- Zasady dotyczące sztucznej inteligencji polecane przez grupę G20.
- Wytyczne ONZ dotyczące regulacji sztucznej inteligencji zaproponowane przez Centrum ONZ ds. Ułatwień w Handlu i Biznesu Elektronicznego (UN/CEFACT).
- Ramy zarządzania ryzykiem związanym ze sztuczną inteligencją od amerykańskiego Narodowego Instytutu Norm i Technologii (NIST).
- Wytyczne etyczne Unii Europejskiej dotyczące sztucznej inteligencji godnej zaufania.
- Globalna inicjatywa Instytutu Inżynierów Elektryków i Elektroników (IEEE) na rzecz etyki systemów autonomicznych i inteligentnych.
Wszystkie te dokumenty opierają się na wspólnych, elementarnych zasadach i dostarczają wiedzy pozwalającej zaplanować wdrożenie. Warto pamiętać, że systemy powinny być szkolone i rozwijane w sposób uczciwy, pozwalający uniknąć stronniczości we wnioskowaniu, a także zaprojektowane z poszanowaniem prawa do prywatności. Powinny być również bezpieczne i niezawodne oraz często testowane.
Ważne, by projektanci i deweloperzy systemów dokładnie rozważyli potencjalnie negatywne konsekwencje etyczne i społeczne tworzonego rozwiązania. Systemy muszą znajdować się pod kontrolą człowieka, który może zmienić podjęte decyzje. Sposób zarządzania systemem musi być jasno określony, włącznie ze wskazaniem osób odpowiedzialnych za zgodność narzędzia z normami etycznymi, prawnymi i innymi określonymi standardami.
Czy może pan wyjaśnić, jak ważne jest źródło oraz integralność danych?
– Mówi się, że gdy złe dane zostaną użyte na wejściu, to otrzymamy równie złe dane na wyjściu i trudno o bardziej prawdziwe stwierdzenie w odniesieniu do generatywnej AI. Najczęstszym błędem przy projektowaniu i tworzeniu systemu sztucznej inteligencji jest brak zadbania o źródło wiarygodnych danych, na których można zbudować bezstronne i godne zaufania modele. Gdy tego brakuje, powstają systemy, które nie chronią danych przed niezamierzonym uszkodzeniem, manipulacją czy usunięciem. Nie są w stanie również zbudować mechanizmów identyfikacji błędów w szkolonym modelu, tzw. ekstrakcji cech, a także określania, co poszło nie tak oraz usuwania błędnych elementów.
Jak najskuteczniej rozpocząć przygodę ze sztuczną inteligencją?
– Od konkretnego przypadku zastosowania. Jednym ze sprawdzonych obszarów do skutecznego wykorzystania generatywnej sztucznej inteligencji jest obsługa klienta. Weźmy na przykład bank, który wdraża system generatywnej sztucznej inteligencji do odpowiadania na skończony zestaw z góry określonych pytań. Gdy zostanie zadane pytanie, które wykracza poza standardowy repertuar odpowiedzi, dochodzi do interwencji człowieka. Na tym etapie system generatywnej sztucznej inteligencji proponuje odpowiedź. Jeśli jest ona poprawna, człowiek ją akceptuje i promuje, ucząc w ten sposób model AI. Jeśli odpowiedź jest błędna, człowiek udziela tej właściwej i jest to następnie wykorzystywane do trenowania modelu. Taki sposób nadzorowanego uczenia pozwala zbudować godne zaufania narzędzie. Z biegiem czasu interwencja człowieka będzie coraz mniej potrzebna, w miarę jak system AI stanie się niezawodny.
Żeby sztuczna inteligencja mogła funkcjonować jako zaufany towarzysz w globalnym systemie bankowym, od samego początku konieczne jest ustanowienie odpowiednich zabezpieczeń. Ważne jest, aby wprowadzane bariery pozwalały zachować równowagę między zarządzaniem ryzykiem a umożliwieniem rozwoju.
AI często wymienia się jednym tchem razem z pojęciem cyberbezpieczeństwa. Czy regulacje, takie jak DORA, pomogą w zwiększeniu bezpieczeństwa instytucji finansowych?
– Cyberbezpieczeństwo i odporność cybernetyczna dotyczą każdej instytucji niezależnie od branży. Dla usług finansowych i ich zewnętrznych dostawców unijne rozporządzenie o operacyjnej cyfrowej odporności DORA jest jedną z kilku nowych i procedowanych regulacji. Mają one na celu standaryzację podejścia do cyberbezpieczeństwa, odporności cybernetycznej i obowiązków w zakresie zarządzania przedsiębiorstwem. Proces zapewnienia zgodności może wydawać się żmudny. Jednak firmy, które przez niego przejdą, będą musiały przestrzegać tylko jednego zestawu zasad. Od rozporządzenia DORA oczekuje się, że podniesie ono poziom bezpieczeństwa systemowego i odporności w sektorze usług finansowych; zwłaszcza że obejmie podmioty, które nie były dotąd uwzględniane w przepisach. Co więcej, choć DORA koncentruje się na odporności, w regulacji zapisane są ważne aspekty związane z cyberbezpieczeństwem, które wzmocnią standardy zarządzania ryzykiem i testowania odporności operacyjnej wśród podmiotów finansowych.
Co mówią statystyki?
– Statystyki wskazują, że sektor finansowy jest podatny na cyberataki. W 2022 r. na całym świecie doszło do 477 wycieków danych1 oraz 1829 incydentów, które stworzyły ryzyko takiego wycieku. Choć może się to wydawać niewiele, średni koszt wycieku w tym sektorze wynosi 6 mln USD2. A mówimy tylko o wykrytych i zgłoszonych przypadkach – ten wskaźnik jest prawdopodobnie znacznie niższy niż rzeczywista liczba. Rozporządzenie DORA pomoże zachęcić organizacje sektora finansowego do wprowadzenia środków pozwalających szybko odzyskiwać sprawność działania. Nowe zasady dotyczące odporności wejdą w życie 17 stycznia 2025 r. Organizacje finansowe i ich dostawcy usług muszą być na to gotowi.
Jakie są główne zadania tej regulacji?
– Przede wszystkim DORA ma pomóc ograniczyć ryzyko cybernetyczne i jego szkodliwy wpływ na działalność biznesową, reputację firmy oraz prywatność klientów. Za nieprzestrzeganie przepisów grozić będą sankcje i grzywny.
Podmioty świadczące usługi finansowe muszą już teraz rozpocząć modernizację swoich protokołów cyberbezpieczeństwa oraz cyberodporności. Dogłębne zrozumienie biznesowych i technicznych aspektów działania branży usług finansowych będzie kluczowe do skutecznego planowania zmian, dlatego organizacje będą potrzebować partnerów ze specjalistyczną wiedzą, którzy pomogą im w poruszaniu się po nowym środowisku regulacyjnym.
Podczas gdy europejskie organy nadzoru nadal dopracowują standardy techniczne DORA, duże firmy świadczące usługi finansowe już rozpoczęły aktualizację i testy swoich zasobów ICT pod kątem zgodności.
Niestety mniejsze firmy z tego sektora mogą mieć ograniczone możliwości, by dostosować się do DORA samodzielnie. W takich wypadkach przydatna będzie pomoc doświadczonych partnerów, staranne zaplanowanie procesu i wsparcie osób decyzyjnych w firmie, co pozwoli organizacjom zachować zgodność z DORA.
Uzyskanie tej zgodności z przepisami jest ważne dla działalności i reputacji organizacji. Współpraca z właściwymi partnerami w celu wdrożenia odpowiednich rozwiązań wzmocni cyberbezpieczeństwo i odporność cybernetyczną firmy.
1 https://www.statista.com/statistics/1310985/number-of-cyber-incidents-in-financial-industry-worldwide/
2 https://www.statista.com/topics/9918/cyber-crime-and-the-financial-industry-in-the-united-states/#topicOverview